W0ngk，一个安全菜鸡，一直在模仿，尚未有超越。

一、CVE-2017-12615 漏洞复现1、漏洞基本情况漏洞类型： 任意文件上传漏洞原理： 如果如果Tomcat开启了PUT方法(默认关闭，但是有些页面需要PUT，无法关闭)，并且配置文件web.xml中的readonly设置为了false，则有可能产生该漏洞，攻击者可以利用PUT方法上传jsp文件，从而造成远程命令执行，getshell等。利用条件： tomcat在windows上运行，开启了IIS PUT方法，配置文件web.XML中的readonly设置为了false。影响版本： Ap.

前言： 漏洞环境使用vulhub docker一键搭建，利用工具包括burp suite,kali等。weblogic简介：​ WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。​ WebLogic Server具有开发和部署关键任务电子商务Web应用系统 所需的多种特色和优势，包括：可拓展性、可靠性、体系.

JBOSSS简介： JBoss是一个基于J2EE的开放源代码应用服务器，代码遵循LGPL许可，可以在任何商业应用中免费使用；JBoss也是一个管理EJB的容器和服务器，支持EJB 1.1、EJB 2.0和EJB3规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器，一般与Tomcat或Jetty绑定使用。一、CVE-2017-121491、漏洞简介漏洞类型：java 反序列化漏洞原理： 该漏洞为 Java反序列化错误类型，存在于 Jboss 的 HttpInvoker 组件中的 .

apache 简介：Apache 是世界使用排名第一的Web 服务器软件。它可以运行在几乎所有广泛使用的 计算机平台上，由于其 跨平台 和安全性被广泛使用，是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充，将 Perl/ Python等 解释器编译到服务器中。一、多后缀名解析漏洞复现环境： docker ： vulhub/httpd/apache_parsing_vulnerability1、漏洞简介漏洞成因：Apache文件解析漏洞与用户的配置有密切的关系，严格来说属.

复现环境: vulhub docker —> nginx一、错误配置导致的漏洞1、CRLF注入漏洞漏洞原理：CRLF是”回车+换行”(\r\n)的简称,其十六进制编码分别为0x0d和0x0a。在HTTP协议中,HTTP header与HTTP Body是用两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP内容并显示出来。所以,一旦我们能够控制HTTP消息头中的字符,注入一些恶意的换行,这样我们就能注入一些会话Cookie或者HTML代码。CRLF漏洞常出现在Location与S.

JETTY简介：Jetty作为Eclipse基金会的一部分，是一个纯粹的基于Java的网页服务器和Java Servlet容器，其支持最新的Java Servlet API，同时支持WebSocket，SPDY，HTTP/2协议。一、CVE-2021-28164 [34429] 敏感信息泄露1、漏洞简介：在Jetty9.4.37版本中，为了符合RFC3986中的规范，选择性地支持可能有歧义解释的URI，默认模式允许URL编码，简单看下RFC3986（替代RFC2396）的规定其大致意思是：.和.